IPV6网络安全协议机制

IPV6网络安全协议机制（精选7篇）

IPV6网络安全协议机制 篇1

引言

Internet经过近20年的发展, 互联网用户数量急剧增加, 出现原有的IPv4协议难以解决的诸如地址资源不足, 路由表膨胀等问题。IP的特殊应用也对IP提出了新的要求, 比如实时传输、多媒体传输和移动用户的网络接入等。故因特网工程任务组 (ETF) 开发出了IPv6协议以解决IPv4存在的问题, 也给IP带来了一些新的特性, 例如在地址管理、安全性、移动性和Qo S等方面变得更加灵活。但网络安全问题的不断暴露和当前黑客攻击技术日益进步, 人们又面临了新的课题——IPv6环境下的安全问题。在这种背景下, 开发易扩展、集成化、自动化、低成本、高效率、易管理的网络集成防护产品的必要性。

1 体系结构

下一代互联网络协议IPv6的实现机制及网络安全保障方法旨在参与研究开发下一代因特网协议IPv6, 其主要目的是实现主机和路由器从IPv4向IPv6平滑过度及相应环境下网络安全性的研究。IPv6的引入并不能使IPv4立即消失, 因此, 研究他们之间的转换机制、实现方法以及其环境下的安全性问题, 保障网络安全已成为一项具有重大意义的研究工作。网络安全系统提供了防火墙集成管理、入侵检测集成管理、网络入侵自动阻断等功能, 能检测端口扫描、后门、溢出攻击等各方面的入侵并自动保护, 并综合边界防火墙和主机防火墙形成了分布式防火墙的立体防护功能, 形成了集成化防护的产品特色。该产品除了具有立体防护、易扩展、高性能、智能化、自动化的特点以外, 还具备用户所需要的易安装、易配置、易使用、易管理特性。

图1是系统体系结构图, 从图中可以看到本项目研制的计算机安全防护系统由四部分组成:主控计算机、防火墙+/入侵检测代理、防火墙、入侵检测系统。主控计算机负责系统整体的运行和协调, 防火墙/入侵检测代理负责管理相应的防火墙和入侵检测系统。

在此系统中, 我们需要开发插件式的防火墙及入侵检测集成解决方案, 提供可扩展的管理平台;研发防火墙规则配置技术, 提供统一、一致的防火墙配置管理;研发入侵检测和防火墙之间的自动协作机制, 通过防火墙对发现的入侵自动阻断;开发Windows下主机防火墙, 通过控制中心形成分布式防火墙和边界防火墙相结合的立体防御;开发联动防火墙;开发端口扫描攻击基本防范和木马检测的程序。

本系统研究开发的新型网络防护技术主要包括:IPv4/IPv6双栈网络安全测试系统、联动防火墙的主机入侵检测系统和基于IPv6的网络安全保障。

2 IPv4/IPv6双栈网络安全测试系统

由于IPv4普遍存在, IPv6的引入并不能使其立即消失, 因此, 研究他们之间的转换机制、实现方法及其环境下的安全性问题, 保障网络安全已成为一项具有重大意义的研究工作。为完成此项工作, 我们构建了一个网络安全测试系统, 能够实现IPv4/IPv6双栈入侵检测以及IPv6防火墙测试功能。探讨了在IPv6环境下, 搭建网络安全测试系统的过程。

测试环境是一个IPv4/IPv6双栈网络。采用分布式入侵检测系统, 多个探测器设备独立分布在测试环境中, IDS manager负责多个探测器设备的管理和告警信息的分类。探侧器设备的物理连接使用带有端口复制功能的交换机以保证监听可靠性。测试防火墙双向、单向性能与最大并发连接数时, 防火墙配置为内外网全通, 侧试防火墙NAT功能性能时, 防火墙只增加了NAT功能。防火墙启动NAT功能以后的性能测试方法与单向性能测试相同。

3 联动防火墙的主机入侵检测系统

研究具有联动防火墙的主机入侵检测系统可以实时监测主机的各种状态, 辨别可能发生的入侵行为或非法操作, 在入侵行为发生时联动防火墙进行自动阻断和报警, 实时保护主机系统信息安全。入侵监测子系统的构架如图2所示。

为了不降低系统的吞吐率, 主机入侵检测系统LYIDS与防火墙LYFW的联动采用外联式互动技术。LYIDS在检测到端口扫描后, 根据攻击方IP地址自动生成临时性规则, 并添加进临时性规则链表, 临时性规则经过DES算法加密后通过Windows消息机制传送给LYEW。LYEW接收到LYIDS送来的Windows消息, 从中提取临时性规则, 解密后将其加入临时性规则集, 一般置临时性规则时效为5s, LYEW每隔一段时间检查临时性规则集, 及时删除失效的临时性规则。鉴于临时性规则的紧迫性, LYEW过滤数据包时采取先匹配临时性规则, 后固定规则 (防火墙自己设定的规则) 的策略。

4 结论

IPv6提供了网络数据和信息内容的有效性、一致性以及完整性的保证, 但是, 网络受到的安全威胁是来自多层面的, 包括物理层、数据链路层、网络层、传输层和应用层等各个部分。实现IPv6网络的安全性主要通过3个层面实现:高性能的硬件系统、网络安全、协议安全。

经测试, 下一代互联网络协议IPv6的实现机制达到如下技术指标:首先, 该软件运行于Windows系统, 实现了集成管理不同类型防火墙、插件式集成管理、基于元语的防火墙配置、单一防火墙配置、远程统一管理防火墙等功能。其次, 该软件运行于Windows系统, 实现了集成管理不同类型入侵检测系统、插件式集成管理、远程管理入侵检测系统、自动告警及查询、告警自动响应和封阻攻击等功能。再次, 通常使用ASIC (专用集成电路) 实现加密处理, 或者通过网络处理器来实现加密处理和转发。最后, 该软件在Windows, 实现了对后门端口的自动检测和告警, 支持黑白端口列表的设定。

摘要：随着互联网的发展, 现有的IPv4协议难以满足需求, 人们面临着如何解决IPv6环境下的安全问题。我们研究了下一代互联网络协议IPv6的实现机制及网络安全保障方法, 研究了IPv4/IPv6双栈网络安全测试系统、联动防火墙的主机入侵检测系统、基于IPv6网络的防火墙安全保障和IPv4向IPv6过渡的机制, 该系统顺利通过了测试, 目前该机制在同类产品中属于较先进水平。

关键词：互联网,协议,IPv4,IPv6,网络安全

参考文献

[1]高光勇, 迟乐军, 王艳春.联动防火墙的主机入侵监测系统的研究[J].微计算机信息, 2005, 21 (7-3) :66-68.

[2]何鹏.基于IPv6的网络安全保障方法的研究与实现[J].计算机安全, 2007, 3:38-39.

[3]王凯, 朱恒军, 何鹏.IPv4/IPv6双栈网络安全测试系统的研究与实现[J].计算机安全, 2007, 8:36-37.

[4]王凯, 何鹏, 朱恒军.基于IPv6网络的防火墙安全性能研究与设计[J].网络安全技术与应用, 2007, 7:26-27.

IPV6网络安全协议机制 篇2

1 IPSec协议在IPv6环境中应用所存在的问题

对于IPSec协议在IPv6环境中的应用，只要进行网络安全访问的通信双方都支持IPsec，就可以通过IPSec在主机上的实施获得端到端的安全保护。这样，任何一个需要安全保护的IP数据包在离开发送主机时都会经过IPSec处理，从而在原来的IP数据包中插入一个ESP头或AH头，当其抵达接收主机后，再通过IPSec的处理去掉插入的ESP头或AH头。

当IPSec在主机或其它任何终端系统上实施时，通常存在两种情况:第一种情况，IPSec集成到操作系统OS之中，直接在操作系统的IP层上实施IPSec处理;第二种情况，IPSec在协议栈的IP层和数据链路层之间实施，专门用来加密或解密原有的IP数据包，然后再交给数据链路层处理。

在实施中可以将IPSec应用于端主机之间、网关之间、端主机与网关之间或远程主机与服务器之间。每种方式都可以应用一个或多个安全关联队，每个安全关联SA可以是传输模式AH、传输模式ESP、先传输模式ESP再传输模式AH或前者中任一种再与传输模式AH或ESP隧道模式等组合。总之，只要合理规划就能实现Internet在IP层上的安全通信。

2 IPSec协议在IPv6环境中的实现策略

无论IPSec是应用于VPN还是端到端的安全中，其实现机制均可以分为3种:OS集成、BITS(Bump in the Stack)与BITW(Bump in the Wire)。

OS集成方案在主机实施和路由器实施情况下都可以应用，且在该方案下IPSec与操作系统集成在一起。由于IPSec是一种网络层协议，因此可以被当作网络层的一部分来实现，且IPSec层需要IP层的服务来构建IP头。

IPSec与操作系统集成的优点主要有:(1)由于IPSec与网络层紧密集成在一起，因此它更有利于诸如分段、PMTU和用户场景之类的网络服务;(2)在每个数据流的级别上提供安全服务更为容易，因为密钥管理、基本IPSec协议和网络层可以无缝集成在一起;(3)支持所有的IPSec模式。但对提供VPN和内联网解决方案的公司而言，OS集成方案有一个不容忽视的缺陷:限制提供高级方案的能力。

BITS将IPSec插入网络层和数据链路层之间，这种实施方案最大的问题就是功能的重复，它要求实现大部分网络层特性，比如分段和路由表等。其优点是只需一次实施，就可提供完整的方案，BITW在逻辑上等同于BITS实施方案。在这种实现中，IPSec的实现是在一个设备中进行的，该设备直接接入路由设备的接口，它一般不运行任何路由算法，而仅是用来保障数据包的安全。

3 IPSec协议软件实现分析

IPSec的软件实现无论其是否与操作系统进行集成，都是与操作系统相关的。下面分别就Windows,Linux等操作系统中的IPSec实现进行分析。

3.1 基干Windows的IPSec软件实现

3.1.1 集成方案

集成在Windows中的IPSec实现以服务的形式提供数据安全与认证。Windows系统中的IPSec包含3个组件:策略代理、IKE模块和IPSec驱动。这3个模块通过与Windows中的TCP/IP驱动和cryptoAPI进行交互来提供IPSec的所有功能。其中，策略代理负责IPSec策略的获取与分发，IKE模块在策略代理的驱动下进行安全关联的协商。Windows系统中采用的认证策略包括:Kerberos(一种网络认证协议)、证书与预共享密钥。

3.1.2 NDIS实现

Windows操作系统提供了多种截获数据包的机制。内核模式的包过滤机制主要有TDI过滤、NDISI Intermediate驱动、Filter-Hook驱动、Firewall-Hook驱动以及NDIS Hooking过滤驱动等几种机制。NDIS Intermediate驱动介于网络设备的驱动程序(Miniport Driver)与协议驱动(Protocol Driver)之间。它对于Miniport驱动表现为Protocol驱动，对于Protocol驱动表现为Miniport驱动，可以对网络层的数据进行处理，因此非常适合用来进行IPSec处理。

3.2 基于Linux的IPSec软件实现

Freeswan与USAGI是两个针对Linux操作系统进行IPSec实现的开源组织，他们的IPSec实现都提供对IPv4和IPv6两种版本的支持，并且随着内核技术的发展，提供不同的方案。

3.2.1 Freeswan实现

FreeSwan的早期版本是基于虚网卡和注册协议机制的，根据外出处理和进入处理的流程可以知道，该方案通过虚网卡和注册协议的机制避免了许多网络层功能的重复设计。例如外出的数据包在经过网络层的路由进入虚网卡进行IPSec处理后重新进入网络层、数据的分片处理等操作不需要重新实现;进入处理的数据包经过网络层到达传输层后经过IPSec处理后，仍然可以再次进入接收队列，并再次进入网络层而无需重新实现IPSec处理后的后续功能。

3.2.2 USAGI实现

在USAGI的实现中并没有采用Freeswan的虚接口与注册协议的方式，而是采用在多种数据通路上增加IPSec功能的方法。以IPv6版本为例，IPSec功能被加在TGP的ipv6_xmitQ,UDP/IGMP的ipv6_build xmit()中。由于Linux内核2.5版本以后采用新的网络体系结构XFRM，因此USAGI的后期版本基于XFRM结构。

Freeswan实现与USAGI实现的一个重要不同是：Freeswan致力于作为一个Module提供IPSec功能，而USAGI的实现则修改了原有内核的代码，并且由于USAGI的IPSec实现没有采用Freeswan的虚网卡和注册协议的机制，因此一些网络层的功能在USAGI的实现中不得不进行重新实现。

4 IPsec给IPv6网络带来的安全性影响

从安全特性的维度来看，IPsec能够保证身份认证中数据的完整性和机密性，使通信安全、访问控制、私密性得到了加强，而对于可用性和不可否认性则无法保证。

对于IPv4网络常见的攻击行为，包括IP欺骗、重放攻击、反射攻击、中间人攻击、拒绝服务攻击、分片攻击、网络侦听、应用层攻击等，在IPv6里，由于IPsec提高了数据传输的安全性，因此大部分与数据认证、数据完整性和数据机密性有关的攻击行为将得到缓解，包括IP欺骗、重放攻击、反射攻击、中间人攻击、网络侦听等攻击形式将得到抑制，而其它的与资源耗尽、协议缺陷有关的攻击行为仍将存在，包括拒绝服务攻击、应用层攻击等。

参考文献

[1]周莉,范玉妹.IP安全浅析[J].微计算机信息,2004(3).

[2]冯向辉.IP SECVPN的设计[J].世界电信,2002(8).

[3]林雁.IPSec-网络层安全的协议[J].电脑开发与应用,2005(2).

[4]高鹏,李鸥,邢明.在IPSec VPN中实现动态路由的方法[J].计算机安全,2005(3).

[5]曹建春,沈淑娟.IPSec及其在Windows2000网络中的应用[J].电子科技,2004(6).

基于IPv6协议的网络安全分析 篇3

端到端的安全保证IPv6最大的优势在于保证端到端的安全, 可以满足用户对端到端安全和移动性的要求。IPv6限制使用NAT, 允许所有的网络节点使用其全球惟一的地址进行通信。每当建立一个IPv6的连接, 都会在两端主机上对数据包进行IPSec封装, 中间路由器实现对有IPSec扩展头的IPv6数据包进行透明传输, 通过对通信端的验证和对数据的加密保护, 使得敏感数据可以在IPv6网络上安全地传递, 因此, 无需针对特别的网络应用部署ALG (应用层网关) , 就可保证端到端的网络透明性, 有利于提高网络服务速度。

地址分配与源地址检查在IPv6的地址概念中, 有了本地子网 (Link-local) 地址和本地网络 (Site-local) 地址的概念。从安全角度来说, 这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系, 网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务, 那么就可以只给这台服务器分配一个本地网络地址, 而企业网外部的任何人都无法访问这些主机。

由于I Pv 6地址构造是可会聚的 (aggreg ate-ab le) 、层次化的地址结构, 因此, 在IPv6接入路由器对用户进入时进行源地址检查, 使得ISP可以验证其客户地址的合法性。

防止未授权访问IPv6固有的对身份验证的支持, 以及对数据完整性和数据机密性的支持和改进, 使得IPv6增强了防止未授权访问的能力, 更加适合于那些对敏感信息和资源有特别处理要求的应用。

域名系统DNS基于IPv6的DNS系统作为公共密钥基础设施 (PKI) 系统的基础, 有助于抵御网上的身份伪装与偷窃, 而采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions) 协议, 能进一步增强目前针对DNS新的攻击方式的防护, 例如“网络钓鱼 (Phishing) ”攻击、“DNS中毒 (DNS poisoning) ”攻击等, 这些攻击会控制DNS服务器, 将合法网站的IP地址篡改为假冒、恶意网站的IP地址等。

灵活的扩展报头一个完整的IPv6的数据包可包括多种扩展报头, 例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础, 同时也为安全性提供了保障。

防止网络扫描与病毒蠕虫传播当病毒和蠕虫在感染了一台主机之后, 就开始对其他主机进行随机扫描, 在扫描到其他有漏洞的主机后, 会把病毒传染给该主机。这种传播方式的传播速度在IPv4环境下非常迅速 (如Nimdar病毒在4~5分钟内可以感染上百万台计算机) 。但这种传播方式因为IPv6的地址空间的巨大变得不适用了, 病毒及网络蠕虫在IPv6的网络中传播将会变得很困难。

防止网络放大攻击 (B r o a d c a s t Amplication Attacks) ICMPv6在设计上不会响应组播地址和广播地址的消息, 不存在广播, 所以, 只需要在网络边缘过滤组播数据包, 即可阻止由攻击者向广播网段发送数据包而引起的网络放大攻击。

IPv6是新的协议, 在其发展过程中必定会产生一些新的安全问题, 主要包括应对拒绝服务攻击 (Do S) 乏力、包过滤式防火墙无法根据访问控制列表ACL正常工作、入侵检测系统 (IDS) 遭遇拒绝服务攻击后失去作用、被黑客篡改报头等问题。

此外, 在IPv6中还有一些问题有待解决, 主要包括:

(1) IP网中许多不安全问题主要是管理造成的。IPv6的管理与IPv4在思路上有可借鉴之处。但对于一些网管技术, 如SNMP等, 不管是移植还是重新另搞, 其安全性都必须从本质上有所提高。由于目前针对IPv6的网管设备和网管软件几乎没有成熟产品出现, 因此缺乏对IPv6网络进行监测和管理的手段, 缺乏对大范围的网络故障定位和性能分析的手段。没有网管, 何谈保障网络高效、安全运行?

(2) IPv6网络同样需要防火墙、VPN、IDS、漏洞扫描、网络过滤、防病毒网关等网络安全设备。事实上IPv6环境下的病毒已经出现。这方面的安全技术研发还尚需时日。

(3) IPv6协议仍需在实践中完善, 例如IPv6组播功能仅仅规定了简单的认证功能, 所以还难以实现严格的用户限制功能, 而移动IPv6 (Mobiel IPv6) 也存在很多新的安全挑战。DHCP必须经过升级才可以支持IPv6地址, DHCPv6仍然处于研究、制订之中。

由于IPv6与IPv4网络将会长期共存, 网络必然会同时存在两者的安全问题, 或由此产生新的安全漏洞。

已经发现从IPv4向IPv6转移时出现的一些安全漏洞, 例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源, 攻击者可以通过安装了双栈的使用IPv6的主机, 建立由IPv6到IPv 4的隧道, 绕过防火墙对IP v 4进行攻击。

目前, IPv4向IPv6过渡有多种技术, 其中基本过渡技术有双栈、隧道和协议转换, 但目前这几种技术运行都不理想。专家建议, 向IPv6转移应尽量采用双栈技术, 避免采用协议转换;尽量采用静态隧道, 避免采用动态隧道;这些都需要在广泛实验中加以检验。

与IPv4相比, IPv6在网络保密性、完整性方面有了更好的改进, 在可控性和抗否认性方面有了新的保证, 但IPv6不仅不可能彻底解决所有安全问题, 同时还会伴随其产生新的安全问题。目前多数网络攻击和威胁来自应用层而非IP层, 因此, 保护网络安全与信息安全, 只靠一两项技术并不能实现, 还需配合多种手段, 诸如认证体系、加密体系、密钥分发体系、可信计算体系等。

参考文献

[1]韩智文, 卿话, 龚正虎.新一代互联网协议的安全机制[J].计算机工程与应用, 2000, 3:126-128.

[2]张玉军, 田野.IPv6安全问题研究[J].中国科学院研究生学报, 2005, 22 (1) :30-37.

IPV6网络安全协议机制 篇4

现有的互联网主要是基于IPv4协议的。这一协议的成功促成了互联网的迅速发展。但是, 随着互联网用户数量不断增长以及对互联网应用的要求不断提高, IPv4的不足逐渐凸显出来。其中最尖锐的问题就是不断增长的对互联网资源的巨大需求与IPv4地址空间不足的先兆, 目前可用的IPv4地址已经分配了70%左右, 其中B类地址已经耗尽。为了彻底解决互联网的地址危机, IETF早在20世纪90年代中期就提出了拥有128位地址的IPv6互联网协议, 并在1998年进行了进一步的标准化工作。目前, IPv6的实验网已经遍布全球, IP协议从IPv4过渡到IPv6已经是历史必然。

二、IPv6带来全新的服务体验

IPv6通过自动识别机能、无限大的住址、网络安全设置, 能对每个终端 (包括无线终端) 、每个家电、每个生产流程、每个感应器, 都进行IP全球化管理, 宣告了信息化新时代的到来。IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能, 将对业务模式有重大的影响。因为有了IPv6, 终端的IP地址就可以静态化、号码化, 方便运营商对用户进行识别、定位、管理, 这样就可以为业务创新产生有利的调动。

IPv6协议由128位地址长度扩展空间, 并使用强制部署IPSec来增强网络的安全性。I P v 6在地址分类、报头格式、Q o S、Plug&Play功能、移动性、ICMP等采用了新的协议机制。由于IPv6的地址空间急剧扩大及新协议机制的使用, 使IPv4网络攻击在IPv6网络中呈现出不同形式和特点。经分析, 针对这些攻击采取可能的防护手段。

三、IPv6带来的新问题及挑战

A、网络侦察

网络侦察通常采用两种方法:一种是主动式获取, 例如端口扫描;另一种是被动式获取, 例如通过搜索引擎或公开的技术文档。

B、非法访问

由于IP协议栈中不对主机之间的连接做任何限制, 攻击者利用IP协议与网络中的主机或设备建立上层协议的连接进行非法访问。IPv4网络采用在端系统和网关设备中部署访问控制来限制非法访问。而IPv6扩展可有效防止网络侦察, 且IPSec的全面部署会使主机的访问控制更加容易。但仍然需要防止非法访问。目前市场已有许多IPv6防火墙产品, 这些产品只是解决了部分IPv6中的安全问题。

C、第三层和第四层欺骗

攻击者修改他们的源IP地址和目的地址端口, 使他们发出的报文看似发自于另一台主机或另一个应用程序, 这种欺骗攻击依然十分流行。IPv6地址具有全球聚集属性, IPv6对于第三层欺骗具有很好的防护作用。

D、Smurf攻击

Smurf攻击方法使用了IP欺骗和ICMP回复方法, 使大量网络传输充斥目标系统, 引起目标系统拒绝为正常系统进行服务。在IPv4网络中采用关闭路由器的直接广播防止攻击。I P v 6采用了新的组播模式, RFC2463中规定对于目的地址为组播地址的报文, 不产生ICMPV6回复报文, 因此避免了这种攻击。

E、路由攻击

路由攻击可破坏或重定向网络中的流量。它采用多种手段, 例如利用范洪攻击、快速宣告和撤销路由、发布虚假路由信息等。IPv4网络防范攻击手段是在路由器之间采用加密认证机制保护路由协议的安全。IPv6中, 有几种协议并没有改变它们的安全机制。BGP仍然依赖于TCP MD5认证机制。

F、蠕虫病毒

蠕虫病毒是当今IP网络中最显著的安全问题。IPv4中的蠕虫病毒不仅危害主机安全, 而且还通过加重路由器和服务器的负担, 从而危害到整个网络。可安装补丁防止这种病毒。在IPv6网络中可能不会轻易爆发蠕虫病毒。有关蠕虫在IPv6网络中具有什么样的特性, 采用何种攻击手段, 还有待于进一步的研究。

四、IPv6当前无法克服的问题

A、窃听

窃听是攻击者获取网络的传输报文。攻击者通过窃听可获得系统的登录凭证, 或某些明文协议中的敏感信息。尽管IPv6通过IPSec提供了防止窃听的基本技术手段, 但并没有解决最具挑战性的密钥管理问题, 窃听攻击仍有可能。

B、应用层攻击

应用层攻击是指发生在第七层上的所有攻击。这是当前互联网上最主要的攻击。常用攻击手段有缓冲区溢出、CGI攻击、及病毒和蠕虫等等。IPv6网络即使全面部署IPSec, 也不会缓解这种攻击。

唯一的改善可能就是追踪攻击会变得更加容易。

C、非法设备

非法设备是网络中未认证的一些设备。攻击者将一台便携式电脑变成一个无线接入点, 一个DHCP或DNS服务器, 一个路由器或交换机。这种攻击在IPv4网络中很常见, 并且暂时在IPv6网络中得不到任何改善。解决这个问题是对IPSec的全面部署。

D、洪范式攻击

IPv6中洪范式攻击依然存在, 并且因为IPv6中可被用来欺骗地址空间非常巨大, 因此使得攻击

更难被跟踪。IPv6网络中如何追踪这种攻击, 还需进一步的研究。

随着IPv6的不断发展和越来越广泛的应用, 安全问题将越来越受到人们的关注, 新的安全事件也将不断的涌现, IPv6环境下的安全机制和安全产品都在不断的发展和变化。关于IPv6网络的安全性方面也得到了越来越多的重视。IPv6的新的特性与协议机制, 使传统网络上的攻击与防护在IPv6网络中遇到了新的问题与挑战。

摘要：IPv6比IPv4具有巨大优势, IPv6是互联网发展的必然结果。IPv6的应用将会为我们带来全新的服务体验, 但是IPv6也带来了在互联网安全方面的一些新问题和新挑战, IPv6带来的新问题和挑战包括网络侦察、非法访问、第三层和第四层欺骗、ARP和DHCP攻击、Smurf攻击、路由攻击, 蠕虫病毒以及IPv6和IPv4的互通。IPv6当前无法克服主要是窃听、应用层攻击、非法设备Man-In-Middle等。

关键词：IPv4,IPv6,NGN,网络安全

参考文献

[1]、雷震甲.网络工程师教程[M].　北京:清华大学出版社, 　2004.

[2]、周逊.　IPv6-下一代互联网的核心[M].　北京:　电子工业出版社, 　200

IPV6网络安全协议机制 篇5

1.1 IP协议

IP协议诞生于70年代中期[1]。IP解决的最根本的问题是如何把网络连接在一起,也就是把计算机连接在一起,而且除了其他计算机的网络地址之外,这些连接起来的计算机无需了解任何的网络细节。这就有以下三个要求:首先,每个连接在“网络的网络”上的计算机必须具有唯一的标识;其次,所有计算机都能够与所有其他计算机以每个计算机都能识别的格式进行数据的收发;最后,一台计算机必须能够在了解另一计算机的网络地址后把数据可靠地传至对方,而无需了解对方计算机和网络的任何细节[2]。IP协议实现了上述目标。

1.2 IPv6概述

IPv6自1996年由IETF的RFC2460加以规范以来,已经得到了广泛的研究和一定的部署。[10]

IPv6保留了IPv4的很多非常成功的特征。如IPv4、IPv6都是无连接的—每一个数据报都含有目的地址,每一数据报独立地被路由。就象IPv4一样,IPv6的数据报头部也含有用于标识一个数据报被丢弃前已经过的最大站数的域。另外,IPv6保留了IPv4可选项中的大部分通用机制。

尽管保留了当前版本的基本概念,IPv6仍然修改了所有的细节。例如,IPv6使用更大的地址和一个全新的数据报头部格式。另外,IPv6使用一系列的定长的头部去处理可选信息,而不象当前版本那样只使用一种含有变长的可选项的头部。

IPv6中的新加特征主要可分为以下五类:[4,5]

1)地址尺寸(Address Size)。每个IPv6地址含128位,代替了原来的32位,这一下地址空间大得足以适应好几十年的全球Internet的发展。

2)头部格式(Header Format)。IPv6的数据报头部与IPv4的完全不一样,IPv4头部的每一个域几乎都变了,或被替代掉了。

3)扩展头部(Extension Header)。不象IPv4只使用一种头部格式,IPv6将信息放于分离的头部之中。一个IPv6的数据报组成:IPv6的基本头部,后跟零个或多个扩展头部,再后跟数据。当前,IPv6定义了6种扩展头,分别是:步跳扩展头、路由扩展头、分段扩展头、验证扩展头、封装安全性净荷扩展头、目标选项扩展头。[6]

4)对音频和视频的支持(Support for audio and video)。IPv6的一种机制让发送方与接收方能够通过底层网络建立一条高质量的路径,并将数据报与这一路径联系起来。虽然这种机制用于需要较高性能保证的音频和视频应用,它也可用于将数据报与低成本路径联结。

5)可扩展的协议(Extensible Protocol)。IPv6并不象IPv4那样规定了所有可能的协议特征。相反,设计者们提供了一种方案,使得发送方能为一个数据报增加另外的信息。扩展方案使得IPv6比IPv4更灵活,意味着随时能在设计中增加所需的新特征。

2 IPV6的安全机制与体系结构

2.1 计算机安全与网络安全技术概述

安全机制是决策的集合,它们集中体现了一个组织对安全的态度。更准确的说,安全机制对于可接受的行为以及应对违规做出何种响应确定了界限。[3]

要保护数据就必须小心防范可能的攻击。人们通常只会注意来自外部网络的攻击,而真正的安全机制需要考虑很多其它的问题。要特别注意的方面包括:篡夺权限(盗取密码)、IT系统管理权限的不当或错误使用、滥用权限、软件的薄弱点(在运行超级用户以上级别的应用程序时缓存、堆栈溢出)、网络监听或消息重发、特洛伊木马、病毒和蠕虫等、安全攻击,比如伪装、IP欺骗、Do S攻击或中间人攻击、路由的误用等。

实际上,数据表明来自外部的恶意攻击只占对计算机和网络威胁的一小部分。很多攻击来自内部,并且与人们不正确的使用权限有关。[7]

IPv4的目的只是作为简单的网络互通协议,因而其中没有包含安全特性。

对于安全性,可以定义如下三个公认的目标[2]:

1)身份验证:能够可靠地确定接收到的数据与发送的数据一致,并且确保发送该数据的实体与其所宣称的身份一致;

2)完整性:能够可靠地确定数据在从源到目的地传送的过程中没有被修改;

3)机密性:确保数据只能为预期的接收者使用或读出,而不能为其他任何实体使用或读出。

完整性和身份验证经常密切相关,而机密性有时使用公共密钥加密来实现,这样也有助于对源端进行身份验证。

IPv6的安全机制主要表现在以下几个方面[9]:

1)将原先独立于IPv4协议族之外的报头认证和安全信息封装作为IPv6的扩展头置于IPv6基本协议之中,为IPv6网络实现全网安全认证和加密封装提供了协议上的保证。IPv6中通过身份验证头(AH)和封装安全性净荷(ESP)头来实现身份验证和安全性,包括安全密码传输、加密和数据包的数字签名。

2)地址解析放在ICMP(Internet Control Message Protocol)层中,这使得其与ARP(Address Resolution Protocol)相比,与介质的偶合性更小,而且可以使用标准的IP认证等安全机制。

3)对于协议中的一些可能会给网络带来安全隐患的操作,IPv6协议本身都做了较好的防护。例如:因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患,IPv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能,这同时也减少了多个节点在同一时间竞争同一个地址的可能。

4)除了IPSec和IPv6本身对安全所做的措施之外,其他的安全防护机制在IPv6上仍然有效。诸如:NAT-PT(Net Address Translate-Protocol Translate)可以提供和IPv4中的NAT相同的防护功能;通过扩展的ACL(Access Control List)在IPv6上可以实现IPv4 A-CL所提供的所有安全防护。另外,基于VPLS(Virtual Private LAN Segment)、VPWS(Virtual Private Wire Service)的安全隧道和VPN(Virtual Private Network)等技术,在IPv6上也可以完全实现。

2.2 IPv6安全机制

如前所述,IPSec安全性服务完全通过AH(Authentication Header)和封装安全性净荷(Encapsulating Security Payload Header,ESP)头相结合的机制来提供,当然还要有正确的相关密钥管理协议。RFC 4302(IP身份验证头)中对AH进行了描述,而ESP头在RFC4303和RFC 4305(IP封装安全性净荷(ESP))中描述。上述RFC及IP安全性体系结构RFC仅仅是解决安全性问题的第一步。

各安全性头可以单独使用,也可以一起使用。如果一起使用多个扩展头,AH应置于ESP头之前,这样,首先进行身份验证,然后再对ESP头净荷解密。使用IPSec隧道时,这些扩展头也可以嵌套。即,源节点对IP包进行加密和数字签名,然后发送给本地安全性网关,该网关则再次进行加密和数字签名,然后发送给另一个安全性网关。

实际上,AH和ESP头既可以用于IPv4,也可以用于IPv6,这一点很重要。

AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。[13]

3 IPv6安全性应用的现实性分析

IPv6网络在安全性上对IPv4的优势并不如我们预计的那么大。很多已知的在IPv4上实现的攻击,在IPv6上一样能够实现,因此,我们用来保护数据的方式实际上也差不多。如同IPv4一样,迟早会有恶意的攻击者找到新方法来攻入网络。网络攻防就像常说的矛和盾,此消彼长。另外有一点必须指出的是,大多数操作系统内的IPv6是很容易配置的,某些时候隧道模式会作为缺省模式被激活。

如果我们使用检测系统对MAC头0x86DD或者对IPv4协议字段41协议进行监控,我们会发现网络上原来已经有数量庞大的计算机开始使用IPv6系统了。

3.1 公钥传递

RFC 4301规定了IPv6协议的IPSec需求,但并没有提及密钥是如何交换的。我们可以手动设定主密钥,但是在大规模应用时,这项工作会非常耗时。因此,在这种条件下,应该使用一台中心授权服务器。根据目前能了解到的应用情况,这种中心授权服务器还有很多细节问题需要解决,比如和RFC 4306规定的IKEv2协议的冲突问题。

3.2 防火墙和入侵检测系统

端到端的IPSec是IPv6的主要优点之一,然而,如果使用ESP加密,那么已有的防火墙就可能发生问题:假如包是端到端加密,那么防火墙或者路由器如何在不解密的条件下来进行包的检测呢?把所有的加密密钥放在一个中心位置也会使网络出现中心薄弱环节。一个比较好的解决方案是,使用一个服务器来存储攻击者或进行了网络异常分析工作计算机的数据库,客户机下载这些数据库,数据计算机自己对包进行扫描,如果发现了和数据库相符的内容,就向中心服务器报警。

3.3 兼容性

互联网的普及使IPv4向IPv6的过渡需要很长一段时间才能完成。IPv6也不仅仅是对IPv4的简单升级,因为头部特征和配址机制的不同,这两种协议是互不兼容的。因此,IPv4如何平滑地过渡到IPv6是必须解决的一个问题。[10]

近年来的实践过程中,屡屡出现本来在IPv4系统中工作正常的设备、软件在采用IPv6协议后出现问题的事件。根据报道,如果IGMP snooping置为有效,那么有些交换机会无法传送IPv6的多播包。使用VLAN站点并使用ISL加密,那么IPv6会不能正常工作。[8]同时,传统上被认为固若金汤的BSD系统,也在处理IPv6封包的程式码中,存在某种存储器损毁的弱点,可能造成系统被攻击者控制的高危险,“该项弱点可让黑客避开操作系统内建的所有安全机制”。[12]Juniper networks使用ipv6的m系列及t系列路由器,由于“内存溢漏”(memory leak),可以让攻击者发动Do S攻击。[11]

因此,业界还要花费大量的精力和财力来进行已有系统的兼容性试验,避免出现不可预知的严重损失。

4 IPv6的企业安全性模型

近年来,由于业务需要,NAT越来越多地被使用,与此而来的还有IPv4网络端对端透明的缺失和安全性的降低。IPv6可以部分地解决这一问题。如果要对外部隐藏网络拓扑结构是必须的话,那么应该使用如RFC 3041规定的诸如private addressing技术等,而不能再继续使用NAT技术。

在传统的IPv4网络中,标准的安全性模型是集成化的NAT和边界防火墙的使用。在IPv6网络里,应该设计一个更先进的安全模型来改善整个网络的安全,与此同时还要促进端对端的联络能力。IPv6的每个节点都具有IPSec能力。仅仅依赖一个防火墙是不可靠的。假如入侵者进入了防火墙背后的网络,那么一切都将是一览无余的非加密内容。要建立完善的模型,必须将中心安全策略仓库、可信主机和节点结合起来,使三方共同作用,建立一个以网络ID为基础的身份验证网络系统。防火墙仍然可以使用,但以现在的观点而言,仅仅以边界防火墙来进行企业级防护是不够的,边界防火墙还要和节点级防火墙相互作用,形成综合性分布式防火墙网络。

摘要：该文从IP发展历史入手,简要回顾了IPv6的主要特性,阐述了IPv6的安全机制,对IPv6的现实性应用给出了见解,认为IPv6已经进入实用化阶段,应该从现实角度完成IPv6安全性的实际应用,完善公钥、防火墙和兼容性等工作。最后,该文对企业网络从IPv4转为IPv6后的网络安全性模型提出了一些看法。

IPV6网络安全协议机制 篇6

因特网在最初的设计上假定使用者不会去攻击网络,会自觉使用能够适应网络条件、防止网络拥堵的传输层协议,尽力避免让自己赖以开展研究工作的互联网络瘫痪。但是在投入商业运营之后,这一假设的问题就表现了出来。为了加强安全性,I E T E(Internet Engineering Task Force)于1 9 9 4年提出的I P v 6(I n t e r n e t Protocol Version 6)中定义了认证报头AH(Authentication Header)和封装化安全净荷ESP(Encapsulating Security Payload),从而使在IPv4中仅仅作为选项使用的I P S e c(I P Security)协议成为IPv6的有机组成部分。

2、下一代I P介绍(I P v 6)

i P v 6保留许多I P v 4的成功点,IPv4到IPv6的改变如下:

2.1 地址扩展:

IP地址由原来的32位扩展到了128位,并且IPv6取消了IPv4地址的分类概念,可提供3.4Ⅹ1038个主机地址。IPv6地址的文本格式为x x x x:x x x x:x x x x:x x x x:x x x x:x x x x:x x x x:x x x x,其中每个x是一个十六进制数字,代表4位,可省略前导零。

2.2 报文头的简化:

IPv6的数据头与IPv4完全不同。简化了数据报文头部,减少了路由表长度,同时减少了路由器处理报头的时间,降低了报文通过网络的延迟。I P v 4报文头检查,如s u m,I H L,认证标识和碎片不在出现在IPv6中。

2.3 流量标识:

对服务质量作了定义,可以标记数据所属的流类型以便路由器成交换机进行相应的处理。IPv6中增了“flow label”标识,提供特定的QOS。

1.4安全性:认证和保密的功能,在IPV6中为支持认证,进行数据完整性及数据保密的扩展。

3、I P安全(I P se c urity)

IP v6提供一个安全机制和一系列安全服务支持,如数据认证、完整性验证、IP控制层加密。IP SEC的一个最基本的优点是它可以在共享网络访问设备,甚至是所有的主机和服务器上完全实现,这很大程度避免了升级任何网络相关资源的需要。在客户端,IPSEC架构允许使用在远程访问边界路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性:传送模式和隧道模式。

传送模式:在远程计算机间直接执行IP安全服务。传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和U D P头。

隧道模式:通过中间系统执行IP数据包压缩。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包—包括全部TCP/IP或UDP/IP头和数据,它用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

4、IPSEC的四种功能

IPv4相比,IPv6具有许多优势。首先,IPv6解决了IP地址数量短缺的问题;其次,IPv6对IPv4协议中诸多不完善之处进行了较大的改进。其中最为显著的就是将IP Sec集成到协议内部,从此IP Sec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个领域。IPSEC提供四种不同的形式来保护通过公有或私有IP网络来传送的私有数据:安全关联(Security Associations,简称SA);IP认证头(A u t h e n t i c a t i o n o n l y(A u t h e n t i c a t i o n H e a d e r,简称AH);IP封装安全载荷(Encryption a n d a u t h e n t i c a t i o n k n o w n a s Encapsulating Security Payload,简称E S P);密匙管理(K e y m a n a g e m e n t)。

4.1 安全关联Security Association(SA)

IP Sec中的一个基本概念是安全关联(SA),安全关联包含验证或者加密的密钥和算法。它是单向连接,为保护两个主机或者两个安全网关之间的双向通信需要建立两个安全关联。安全关联提供的安全服务是通过AH和ESP两个安全协议中的一个来实现的。如果要在同一个通信流中使用AH和ESP两个安全协议,那么需要创建两个(或者更多)的安全关联来保护该通信流。一个安全关联需要通三个参数进行识别,它由安全参数索引(A H/E S P报头的一个字段)、目的IP地址和安全协议(AH或者ESP)三者的组合唯一标识。表3-1列出AH和ESP报头在传送模式和隧道模式下的区别。

AH基本IP报头和扩展报头原始的IP数据包外面封装新IPv6报头和AH ESP压缩数据包和IP v6扩展ESP报头ESP报头。

4.2 报头验证A u t h e n t i c a t i o n Header(AH)

认证协议头(AH)是在所有数据包头加入一个密码。AH通过一个只有密匙持有人才知道的“数字签名”来对用户进行认证。这个签名是数据包通过特别的算法得出的独特结果;AH还能维持数据的完整性,因为在传输过程中无论多小的变化被加载,数据包头的数字签名都能把它检测出来。IPv6的验证主要由验证报头(AH)来完成。验证报头是IPv6的一个安全扩展报头,它为IP数据包提供完整性和数据来源验证,防止反重放攻击,避免IP欺骗攻击。

4.3 封装安全有效载荷数据(Encapsulating Security Payload)

安全加载封装(ESP)通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性,这样可以避免其他用户通过监听来打开信息交换的内容,因为只有受信任的用户拥有密匙打开内容。ESP也能提供认证和维持数据的完整性。ESP用来为封装的有效载荷提供机密性、数据完整性验证。AH和ESP两种报文头可以根据应用的需要单独使用,也可以结合使用,结合使用时,ESP应该在AH的保护下。

5、结论

IPv6网络由于IPSec提供的安全服务,能有效防止长期困扰人们的许多网络攻击,如IP欺骗、拒绝服务攻击、数据篡改和网络探测活动等。IP Sec是目前可提供的最好的网络安全解决方案,它努力使Internet上的安全机制标准化,向更安全的Internet迈进了一大步。IPsec中可能有许多安全问题需要解决,如FTP,Telnet,DNS,and SNMP,但其它安全可通过防火墙或NAT转换来加以解决,但对QOS和DHCP可能会导致IPSEC无效或受限。

摘要：IPv6是“Internet Protocol Version 6”的缩写,也被称作下一代互联网协议,它是由IETF(The Internet Engineering Task Force)设计的用来替代现行的IPv4协议的一种新的IP协议。IPv6内置IPSec协议,为网络安全问题提供了一种标准的解决方案,本文介绍了基于IPv6的下一代计算机网络的安全性问题,对IPSec的工作原理进行了分析,并提出了改进意见。

关键词：密钥管理,IPv6,IPSec,安全关联

参考文献

[1]D.Johnson,C.Perkins,J.Arkko.Mobility Support in IPv6[S].RFC3775,2004

[2]Helsinki University of Technology.Mobile IPv6 for Linux[OL].http://www.mobile-ipv6.org,2006-2.

[3]Xavier Perez Costa,Hannes Hartenstein.A Simulation Study on the Performance of Mobile IPv6in a WLAN-based Cellular Network[J].Computer Networks,2002,40(1):191-204.

[4]何涛,杨寿保.IPv6的移动性支持及实现[J].小型微型计算机统.2003,24(3):24～27.

IPV6网络安全协议机制 篇7

关键词：IPv6,IPSec,AH协议,ESP协议,IKE协议,安全应用

0 引言

随着因特网对人们的生活、工作等各方面的深刻影响, 由此带来的信息安全问题也势必影响到社会的所有领域, 网络安全隐患的解决成为刻不容缓的话题。

IPv6 (互联网协议第六版) 是互联网工程任务组IETF设计的用于替代现行版本IP协议IPv4的下一代IP协议。目前我们使用的互联网协议IPv4成就了今天因特网的辉煌发展。但是, IPv4本身所固有的缺陷也日趋明显, 阻碍了因特网的进一步发展。IPv4的第一个缺陷表现为现有IP地址资源的匮乏, 32位的IP地址以及分配的不均匀, 使得现有的地址数量很难满足用户需求; 另外一个重要的缺陷就是IPv4存在着太多的安全隐患, 这是因为IPv4在设计阶段只是为了实现网络连接功能, 而没有考虑到安全性方面的问题。IPv6技术提出并解决了IPv4所存在的上述问题, 成为网络技术的一次重要改进, 将会逐渐替代IPv4成为下一代互联网的网际层协议。

1 IPv6的优势

IPv6自1994年由IETF制定以来, 经过了16年的发展时间, IPv6的标准体系已经基本完善, 在这个过程中, IPv6逐步优化了原协议体系结构, 为新业务发展创造机会。总的来说, IPv6的优势可以归纳为以下几点:

(1) 地址容量巨大。IPv6地址长度为128比特, 地址空间相比较IPv4增大了296倍, 如此巨大的地址空间, 足以满足急剧增长的互联网新用户对IP地址的需求;同时, 其聚合地址能力, 使得IPv6 支持灵活的寻址方式, 大大减小了路由表的规模。

(2) 灵活的IP报文头部格式。IPv6协议简化了报文头部格式, 字段只有8个, 加快报文转发, 提高了吞吐量;IPv6还使用一系列固定格式的扩展头部取代了IPv4中可变长度的选项字段, 使路由器可以简单路过选项而不做任何处理, 加快了报文处理速度。

(3) 提高了安全保障。IPv6协议本身支持IPSec, 在网络层进行IPSec认证与加密, 能提供端到端的安全保障。

(4) 支持更多的服务类型。

(5) 允许协议继续演变, 增加新的功能, 使之适应未来技术的发展。

2 IPv6的安全机制

IPv6在网际层实现了较为严格的安全标准, 也提供了诸如安全协定、密钥管理、认证和加密算法等安全服务。这些标准由 RFC1825、RFC1826、RFC1827及用于鉴别和封装载荷的若干算法标准构成一个Internet 协议安全体系结构——IPSec (Security Architecture for IP network) 。IPSec是IETF提供因特网安全通信的一系列规范之一, 它提供私有信息通过公用网的安全保障。IPSec能提供的安全服务包括访问控制、无连接的完整性、数据源认证、拒绝重发包、保密性和有限传输流保密性。IPSec主要由AH协议、ESP协议和IKE协议组成, 这3个协议实现了IPv6中提供认证、数据完整和机密性3种保护形势, 构成了下一代因特网的安全新标准。

必须指出的是, 安全关联SA也是IPSec中的一个重要组成部分, 用来描述和实现连接安全, AH协议和ESP协议都必须使用SA才能实现安全服务, 因此SA被称为是IPSec的基础。IPSec通过SA来区分对不同的数据流提供的安全服务。一个安全关联用来唯一标识一个单工的安全性连接, 存放在安全关联数据库里。

(1) AH协议。

AH (Authentication Header) 即身份验证报头, 作为 IPv6 中的一个扩展头, IPv6的验证主要由验证报头AH来完成。验证报头是IPv6的一个安全扩展报头, 它为IP数据包提供完整性和数据来源验证, 防止反重放攻击, 避免IP欺骗攻击, 但不提供数据加密服务。

AH为所有数据包头加入一个密码, 较为普遍的加密算法是MD5和SHA-1, 前者可使用最高到128位的密钥, 而后者可以使用最高160位密钥。AH通过“数字签名”来对用户进行验证, 这个签名是数据包通过特别的算法得出的独特结果, 具有“身份验证性”;AH还能维持数据的完整性, 因为在传输过程中无论多小的变化被加载, 数据包头的数字签名都能把它检测出来, 以此保证数据的完整性校验。此外, AH还通过使用顺序号字段来防止重放攻击。

因为IPSec具有两种传输模式——隧道模式和传输模式, 而AH可以在任何一种模式下使用。相比较而言, 传输模式中, 安全关联的一方负责加密, 一方负责验证, 由上层协议进行最后处理, 因此IP头必须要暴露出来以便路由选择, AH保护部分IP头适合于主机实现;隧道模式中, 安全关联的源节点和目的节点均为安全性网关, AH对整个IP数据包提供认证保护, 既适用于主机, 也适用于安全网关。当AH在安全网关上实现时, 必须采用隧道模式。

(2) ESP协议。

ESP (Encapsulating Security Payload) 即封装安全有效负载, ESP用来为封装的有效载荷提供机密性、数据完整性验证。作为 IPv6 中的一种扩展头, 通过对数据包的全部数据和加载内容进行全加密来严格保证传输信息的机密性, 这样可以避免其他用户例如黑客通过监听来打开信息交换的内容, 因为只有受信任的用户拥有密匙才能打开内容。

ESP头可以放置在IP头之后、上层协议头之前, 或者在被封装的IP头之前 (隧道模式) 。ESP包含一个非加密协议头, 后面是加密数据。该加密数据既包括了受保护的ESP头字段也包括了受保护的用户数据, 这个用户数据可以是整个IP数据包, 也可以是 IP 的上层协议帧, 如TCP或UDP。

ESP也能提供认证和维持数据的完整性, 不过AH提供的是对IP数据包中包括包头和所传数据的完整性认证, 而ESP提供的完整性则只针对IP数据包的数据部分。如果需要确保一个数据包的完整性、真实性和机密性时, 需同时使用AH和ESP。先使用ESP, 然后把AH报头封装在ESP报头的外面, 从而接收方可以先验证数据包的完整性和真实性, 再进行解密操作, AH能够保护ESP报头不被修改。

ESP提供机密性、数据源认证、无连接的完整性、抗重播服务和有限信息流机密性服务。所提供服务集由安全关联SA建立时选择的选项和实施的布置来决定, 机密性的选择与所有其他服务相独立。但是, 使用机密性服务而不带有完整性认证服务可能使传输受到某种形式的攻击以破坏机密性服务。数据源验证和无连接的完整性是相互关联的服务, 它们作为一个选项与可选择的机密性结合提供给用户。只有选择数据源认证时才可以选择抗重播服务, 由接收方单独决定抗重播服务的选择。

(3) IKE协议。

IKE (Internet Key Exchange) 即因特网密钥交换协议, 解决了在不安全的网络环境 (如Internet) 中安全地建立或更新共享密钥的问题。IKE是非常通用的协议, 不仅可为IPSec协商安全关联, 而且可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。在实施IPSec 的过程中, 可以使用IKE协议来建立安全关联, 该协议建立在由ISAKMP (Internet Security Association and Key Management Protocol, Internet 安全联盟和密钥管理协议) 定义的框架上, 沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术, 还定义了它自己的两种密钥交换方式:主要模式和积极模式。IKE为IPSec 提供了自动协商交换密钥、建立安全联盟的服务, 能够简化IPSec 的使用和管理。

3 IPv6的安全性应用

IPv6本身所固有的庞大地址资源让网络实名制成为可能, 从网络用户的角度增加了安全性;128位的地址空间也让通过扫描地址段的方式传播的病毒或者蠕虫一筹莫展, 减少了网络攻击行为, 增强了网络安全性。

将IPSec安全体系结构应用于网络通信中, 可以“无缝”地为IPv6网络环境下的网络数据传输提供安全保障, 这些应用可以表现在计算机网络的各种不同环境。

(1) 端到端的安全应用。

进行通信的两台主机分别位于不同的网关内, 主机本身可配置IPSec, 不同的网关通过Internet或者Extranet连接, 但网关没有配置IPSec。通信的端主机可以单独使用AH或者ESP, 也可以同时使用两种技术。主机使用传输模式或者隧道模式通信, 进行端到端的安全保护。

(2) 支持VPN的安全应用。

进行通信的主机不必配置IPSec, 而在网关上运行隧道模式的ESP, 以保护两个网内主机的安全通信。此时, 信息的安全封装和解封通过网关上的IPSec进行, 并且通过隧道穿越Internet或者Extranet, 实现功能完善VPN的安全保护。

4 结束语

基于IPv6的网络, 彻底解决了IP地址匮乏的问题。同时, 由于在其协议中贯穿IPSec提供的各种安全服务, 如IP欺骗、数据篡改和网络探测活动等, 通过 AH 、ESP以及IKE 3个安全协议能有效防止许多网络攻击, 增强了网络数据交换的完整性和机密性。就目前而言, IP Sec是可提供的最好的网络安全解决方案, 这将加快IPV6替代IPV4的步伐。

参考文献

[1]DEERING S, HINDER R.Internet Protocol version 6 (IPv6) Spec-ification[S/CD].RFC 1883, 1990.

[2]KEN T S, ATKINSON R.Security Architecture for the InternetProtocol[S/CD].RFC 2401, 1998.

[3]HARKINS D, CARREL D.The Internet Key Exchange (IKE) [S/CD].RFC 2409, 1998.

[4]KENT S, ATKINSON R.IP Encapsulating Security Payload (ESP) [S/CD].RFC 2406, 1998.

[5]张云勇.基于IPv6的下一代互联网的核心[M].北京:电子工业出版社, 2004.